Laravel 8, Sanctum, Fortify /logout 在 Postman 中抛出“CSRF token mismatch”

我安装了 L8、Sanctum 和 Fortify 进行身份验证。我能够 /login (使用 Pre-request Script 来设置 X-XSRF-TOKEN )。我什至成功获得了 /api/user 。但是当我执行 /logout 时,我在 Postman 中收到“CSRF 令牌不匹配”错误。我在文件中的设置如下:

.env

SESSION_DOMAIN=localhost
SANCTUM_STATEFUL_DOMAINS=localhost:8000

cors.php

'paths' => ['api/*', 'login', 'logout', 'register', 'sanctum/csrf-cookie']

fortify.php

'views' => false

/app/Http/Kernel.php

'api' => [
  LaravelSanctumHttpMiddlewareEnsureFrontendRequestsAreStateful::class,
  'throttle:api',
  IlluminateRoutingMiddlewareSubstituteBindings::class,
],

我没有在 HasApiTokens 模型中使用 User 特征,因为这是基于 cookie 的身份验证。

在 Postman 中,我为 /logout 路由使用以下标头:

Accept:application/json
Referer:localhost:8000
X-XSRF-TOKEN:{{xsrf-token}}

我正在向 POST 发出 http://localhost:8000/logout 请求。为什么我收到“CSRF 令牌不匹配”错误?

stack overflow Laravel 8, Sanctum, Fortify /logout throws "CSRF token mismatch" in Postman
原文答案

答案:

作者头像

我不确定你是否解决了这个问题,但如果没有,我只需要解决同样的问题。

它失败的原因是因为每个请求都会更新 CSRF 令牌,因此您需要将请求后脚本添加到您的登录请求(以及您发出的任何其他请求)中。

例如您可以将脚本添加到请求的测试部分:

postman.setEnvironmentVariable("xsrf-token", postman.getResponseCookie("XSRF-TOKEN").value);
tests["CSRF token updated"] = true;

第二行是为了确保脚本不会每次都报告失败。

我还发现可能需要在令牌值上使用 decodeURIComponent()

作者头像

在您的 AppHttpMiddlewareVerifyCsrfToken 中间件中,将 /api/logout 添加到 $except 数组中:

protected $except = [
    '/api/logout'
];